扫一扫
关注微信公众号

斩于马下 挑战木马克星Ewido显神威(图)
2006-07-26   

“救命啊!”宿舍的哥们大叫一声,将正在QQ上泡MM的我惊醒,原来是他的电脑中了不知名的木马!这小子跑来恳求我出手救助一下他的爱机,看着他眼泪汪汪的样子,也担心木马会感染整个宿舍局域网,因此不得已暂时告别了MM……

一、木马克星遇克星

原来哥们在浏览XX网页时碰到一个网站弹出窗口,显示“在你的电脑里检测到16处错误,如果想修复请点继续”。于是他就点了继续,一步一步被引导着下载安装了一个叫做Errorguard的软件……

居然中了这么低等级的招数,这哥们的智商被我严重鄙视!无奈,拿出了常用的木马查杀软件“木马克星”,开始对他的系统扫描查杀。谁知木马克星是查出了5个木马,可是只能查不能杀,看来木马克星今天也遇到克星了(如图1)。


"斩于马下
图1

二、“免费”的Ewido

哥们的电脑上安装了诺顿和AVG,用来查杀一下,居然也不能清除木马!无计可施的情况下,上网搜索下载了一个号称全球第一的木马查杀软件Ewido Security Suite Plus V4.0绿色免安装版。
小提示最新的Ewido Security Suite Plus V4.0是英文界面的,网上有V3.5版的汉化版本,不过V4.0版的功能更为强大得多,因此这里使用最新版。

下载后直接解压,然后执行文件夹中的“ewido.exe”文件运行程序,在界面中立刻显示出红色的提示,要求立即更新病毒库。点击红色的“Update now”链接(如图2),开始升级。

"斩于马下
图2

三、注册激活实时监控

升级有点慢,先熟悉一下软件界面吧!在界面顶部是一排功能按钮,点击“Status”可以切换回刚才主界面。在主界面下方有一个“Enter license code”按钮,是用来注册的。未注册版本是不能开启实时监控功能的,为了保证哥们的电脑在查杀过程中不再出现什么意外,点击了“Resident shield”后面的“Change state”按钮,将当前状态改为“active”监控激活状态。

四、升级分两步

点击界面上方的激活按钮切换回“Update”页面,发现病毒库下载完毕了,但是要完成升级的话还需要手工安装病毒库。此时显示“Ready for update”,点击界面中的“Start update”按钮,即可开始进行升级(如图3)。在下方的“Automatic Update”(自动升级)项中,勾选“Download and install updates automatically……”(下载并自动进行病毒库安装升级);在“updates interval”(升级间隔时间)中可设置每隔多少时间进行自动升级。设置完毕后,以后就会自动在后台进行病毒库更新与安装了。


"斩于马下
图3

小提示升级完成后,还要再进行一次注册,否则刚才注册会失效。


五、强劲查毒,揪出黑手

现在病毒库是最新的了,开始启动Ewido查杀系统中的木马。

1.全面扫描

点击“Scanner”按钮,切换到扫描页面。在这里提供了多种扫描方式,包括“Complete System Scan”(全面系统扫描)、“Fast System Scan”(快速系统扫描)、“Registry Scan”(注册表扫描)、“Memory Scan”(内存扫描)和“Custom Scan”(定制扫描)等(如图4)。因为系统中现在已经中了木马,所以必须进行一次彻底清除工作,点击“Complete System Scan”按钮,展开扫描选项卡开始进行病毒扫描。

"斩于马下
图4

2.扫描设置

由于是全面扫描,因此需要的时间会很长,在扫描的同时切换到“Settings”(扫描设置)选项卡,查看扫描设置(如图5)。在“How to act?”(如何处理病毒文件)中,可以设置检测到木马后默认的处理动作。点击“Recommend actions”(默认操作),在弹出菜单中选择“Quarantine”(隔离)命令,将在检测到木马后自动对其进行隔离操作。


"斩于马下
图5

仔细看了一下“How to Scan”中的设置项,惊喜的发现了Ewido功能的强大之处,不仅可以扫描捆绑文件、未知病毒、加壳的木马等,还可以检测出NTFS数据流木马!这些功能一会儿测试吧!在“Possibly unwanted software”(不需要的附加软件)项中,使用默认的设置选项,可以全面的查杀流氓广告、有危险的Cookies信息和一些可疑的拨号连接。在“What to Scan”中,可设置扫描的文件类型。为了保险起见,直接就选择了“Scan every file”(扫描所有文件);如果想加快扫描速度,只扫描某几个文件类型的话,可勾选“Choose files by extension”(通过后缀名指定要扫描的文件),并添加文件类型。

小提示:在这里笔者又发现了一个小惊喜,文件类型中有asp/cgi/php,也就是说可以扫描网页木马文件!

3.木马大清除

返回扫描界面,发现竟然扫描出了20多个木马,这其中当然有刚才木马克星无能为力的,也有木马克星检测不出来的木马!毫不犹豫的在“Action”中将处理操作改成“Delete”(如图6),直接将木马删除掉,然后点击“apply all acions”(执行所有操作)按钮,很快检测出来的木马都被删除掉了。不过又弹出一个提示窗口,显示其中一个木马文件无法删除,这下我有些纳闷了,难道这些木马采用了特殊保护技术,DLL注入?还是进程守护?

"斩于马下
图6


4.揪出木马进程

怎么办呢?仔细查看了一下软件界面,看到上面有一个功能按钮“Analysis”(分析),点击后切换到木马分析页面,看到这里有许多木马分析小工具。先看看端口吧,选择“Connections”选项卡,在这里查看到所有网络连接开放端口。

小提示:在“Analysis”页面中,“Processes”项可以查看和结束木马进程;“Autostart”可管理系统自启动项目;“Browser Plugins”项可管理删除加载到IE浏览器中的流氓插件。

连接太多了,于是关闭了QQ、IE所有网络连接,终于发现了可疑的连接——“explorer.exe”本来是资源管理器的进程,竟然对外连接了一个远程主机地址(如图7)!


"斩于马下
图7

小提示要快速的找到木马连接,可勾选下方的“Hide local connections”(隐藏本地连接),只显示对外的远程连接。

确定木马是采用DLL注入的方式,通过资源管理器进行启动和保护的了。于是选择该进程,先点击“Terminate connections”(关闭连接),断开与远程主机的连接,再点击“Terminate Applications”(终止进程),将木马插入的进程结束掉。再返回刚才的木马扫描页,就可以成功删除刚才无法操作的木马文件了!

另外,值得一提的是笔者还用Ewido扫描出了自己网站服务器上其他人上传的ASP木马后门(如图8)。大家有兴趣的话,还可以看看“Tools”功能页中,也能发现更多的惊喜哦!

"斩于马下
图8

热词搜索:

上一篇:MSN频遭陌生人骚扰 账号密码被套取
下一篇:省时省力更轻松 Windows目录访问有捷径

分享到: 收藏